Connect with us

Sicurezza Informatica

Dati COVID-19 messi in vendita sul Dark Web

Tempo di lettura: 2 minuti. Resecurity, un’azienda californiana di cybersicurezza che protegge le aziende Fortune 500, ha individuato la fuga di dati personali rubati dal Dipartimento di Scienze Mediche della Tailandia, contenenti informazioni sui cittadini affetti dai sintomi della COVID-19. L’incidente è stato scoperto e condiviso con il CERT thailandese.

Published

on

Tempo di lettura: 2 minuti.

I dati sono stati messi in vendita su diversi marketplace del Dark Web ed erano disponibili per ulteriori acquisti tramite un canale Telegram creato dai malintenzionati.

Sulla base dei campioni acquisiti e di ulteriori approfondimenti relativi all’incidente di sicurezza, i malintenzionati sono stati in grado di ottenere un accesso non autorizzato al portale governativo che ha permesso loro di gestire illegalmente utenti e record.

L’accesso è stato possibile grazie a una vulnerabilità attiva di tipo SQL injection in un modulo di autorizzazione dell’applicazione Web utilizzata per i sondaggi online.

Al momento dell’identificazione della violazione, i malintenzionati potrebbero aver avuto accesso ad almeno 5.151 record dettagliati, con un’esposizione potenziale di 15.000 in totale.

La Thailandia non è l’unica regione in cui i criminali informatici vanno a caccia di dati personali e medici. La maggior parte dei servizi sanitari in Thailandia sono disponibili in forma digitale per i cittadini, per questo motivo sono sempre un obiettivo interessante per i gruppi di cyberespionaggio e altri attori del Dark Web che raccolgono informazioni per scopi malevoli, ad esempio per utilizzare i dati rubati per ulteriori furti di identità. Quest’anno si sono verificati incidenti simili in Indonesia e in India che hanno portato al furto delle cartelle cliniche di COVID-19 pazienti.

Resecurity ha condiviso i dati esposti trapelati con le autorità competenti e le forze dell’ordine per garantire che i cittadini interessati siano protetti nell’ambito delle leggi sulla privacy e dei regolamenti sulla protezione dei dati vigenti in Thailandia.

Per evitare di essere vittima di un furto d’identità, è necessario abbonarsi a Resecurity Identity Protection (IDP), un’applicazione mobile e un servizio Web interattivo con un dashboard per una protezione continua 24 ore su 24, 7 giorni su 7. Resecurity consente il monitoraggio del Dark Web, il rilevamento delle credenziali trapelate e avvisi tempestivi su altre minacce identificate che prendono di mira la vostra persona online.

Canale Telegram Matrice Digitale

Sicurezza Informatica

NodeStealer e phishing via Google Calendar: nuove minacce

Tempo di lettura: 2 minuti. NodeStealer e phishing via Google Calendar: analisi delle minacce avanzate che compromettono dati finanziari e credenziali.

Published

on

Tempo di lettura: 2 minuti.

Le più recenti minacce evidenziano l’evoluzione delle tecniche utilizzate da cybercriminali per compromettere utenti e aziende. Tra queste, il malware NodeStealer che prende di mira account di Facebook Ads Manager e il phishing che sfrutta Google Calendar per eludere i filtri spam.

NodeStealer: malware avanzato basato su Python

NodeStealer, originariamente un malware JavaScript, è stato aggiornato per utilizzare Python, ampliando le sue capacità di raccolta dati sensibili. In una recente campagna, il malware ha preso di mira un’istituzione educativa in Malesia, legata a un gruppo di cybercriminali vietnamiti.

Il malware si diffonde tramite email di spear-phishing contenenti link malevoli mascherati da PDF legittimi. Dopo l’apertura, un file dannoso esegue DLL sideloading e comandi PowerShell offuscati, installando il payload finale. Questo infostealer è progettato per sottrarre credenziali, dati memorizzati nei browser e informazioni finanziarie da account Facebook Ads Manager.

Il traffico dati rubati avviene attraverso Telegram, che garantisce anonimato e semplicità di gestione. La campagna rappresenta una minaccia crescente, data l’efficienza dei metodi di evasione e la specificità dei target come individuato da TrendMicro.

Phishing tramite Google Calendar: un inganno che sfrutta strumenti legittimi

Una campagna di phishing osservata da Check Point utilizza Google Calendar per inviare inviti a eventi con link malevoli. Gli attacchi, indirizzati a oltre 300 brand, includono settori come banche, sanità ed educazione.

Gli inviti contengono link a Google Drawings o Google Forms, mascherati da pulsanti di supporto o reCaptcha. Una volta cliccati, conducono a pagine che raccolgono credenziali o altre informazioni sensibili.

Gli aggressori sfruttano la fiducia nei servizi Google, superando i controlli DKIM, SPF e DMARC per evitare i filtri spam. Inoltre, utilizzano la funzione di annullamento eventi per inviare messaggi di phishing aggiuntivi.

Per proteggersi, si consiglia di:

  • Disabilitare l’aggiunta automatica di inviti nel calendario.
  • Ignorare link in inviti sospetti, verificando sempre la legittimità del mittente.

Le campagne di malware e phishing descritte dimostrano l’importanza di misure preventive e consapevolezza degli utenti. Strumenti come NodeStealer e gli attacchi basati su Google Calendar sfruttano piattaforme legittime per attività malevole, sottolineando la necessità di approcci proattivi alla sicurezza.

Canale Telegram Matrice Digitale

Continue Reading

Sicurezza Informatica

Salt Thypoon e APT29: a rischio Signal e RDP

Tempo di lettura: 4 minuti. Da smishing a malware come Raccoon Stealer e attacchi MITM di APT29, scopri le minacce attuali e le raccomandazioni per proteggerti.

Published

on

Tempo di lettura: 4 minuti.

Recentemente, diverse campagne di cybercriminalità hanno messo in evidenza la necessità di rafforzare le difese informatiche. Tra le minacce, si segnalano campagne di smishing mirate agli utenti di Poste Italiane, malware Raccoon Stealer, attacchi MITM tramite RDP orchestrati da APT29 e la raccomandazione di CISA di adottare app di messaggistica cifrata come Signal.

CISA: utilizzo di app cifrate dopo violazioni nelle telecomunicazioni

Dopo una serie di violazioni ai danni di otto operatori statunitensi, incluse T-Mobile e AT&T, la CISA ha raccomandato l’adozione di app di messaggistica cifrata, come Signal, per proteggere le comunicazioni da intercettazioni. Le violazioni, attribuite al gruppo Salt Typhoon, hanno consentito l’accesso prolungato ai sistemi di telecomunicazioni, esponendo dati sensibili.

Le raccomandazioni di CISA includono:

  • Uso di autenticazione multi-fattore basata su hardware, come Yubico o Google Titan.
  • Abbandono delle VPN commerciali con scarse politiche di sicurezza.
  • Adozione di funzioni di sicurezza avanzate come Apple Lockdown Mode o il programma di protezione avanzata (APP) di Google.

Questi suggerimenti mirano a proteggere le comunicazioni personali e aziendali in un contesto di minacce crescenti.

Smishing contro utenti Poste Italiane: attenzione ai falsi avvisi di consegna

Il CERT-AGID ha identificato una nuova campagna di smishing che sfrutta falsi messaggi SMS inviati agli utenti di Poste Italiane. L’SMS invita le vittime a cliccare su un link fraudolento per risolvere problemi di consegna.

Il link reindirizza a un sito che imita quello ufficiale di Poste Italiane, richiedendo dati personali e delle carte di credito. Dopo aver inserito le informazioni, gli utenti possono subire furti finanziari e compromissioni di identità.

Si consiglia di:

  • Verificare sempre i link prima di cliccarvi.
  • Utilizzare i canali ufficiali delle organizzazioni per chiarire eventuali dubbi.
  • Segnalare messaggi sospetti a malware@cert-agid.gov.it.

Raccoon Stealer: operatore condannato e implicazioni per la sicurezza

L’operatore dietro al noto malware Raccoon Stealer è stato condannato a cinque anni di prigione negli Stati Uniti dopo essersi dichiarato colpevole. Questo malware è stato responsabile di numerosi attacchi globali, con furti di credenziali, dati bancari e criptovalute, colpendo milioni di utenti dal 2019 al 2022.

Raccoon Stealer funzionava come Malware-as-a-Service (MaaS), con gli sviluppatori che vendevano abbonamenti agli attori malevoli. Una volta attivato, il malware raccoglieva informazioni sensibili dalle macchine infette, inviandole a server di comando e controllo.

La condanna dell’operatore rappresenta un passo importante nella lotta contro il cybercrimine. Tuttavia, gli esperti avvertono che varianti del malware potrebbero continuare a circolare, con la necessità di implementare difese più robuste, come software anti-malware aggiornati e una maggiore consapevolezza tra gli utenti.

APT29: attacchi MITM tramite RDP proxy

Il gruppo di cybercriminali APT29 (conosciuto anche come Midnight Blizzard o Earth Koshchei), associato alla Russia, sta utilizzando una rete di proxy RDP (Remote Desktop Protocol) per attacchi di tipo man-in-the-middle (MITM).

In questa campagna, gli aggressori inducono le vittime a connettersi a server RDP compromessi, consentendo loro di:

  • Intercettare credenziali e sessioni di lavoro.
  • Accedere a dati sensibili.
  • Installare payload malevoli sui sistemi compromessi.

Il gruppo utilizza strumenti come PyRDP, una soluzione open-source originariamente pensata per scopi legittimi di simulazione red team, per sfruttare le connessioni RDP in modo illecito.

Gli attacchi sono stati mirati contro organizzazioni governative, militari e aziende tecnologiche in paesi come Stati Uniti, Francia, Germania e Australia. Per mitigare i rischi, si raccomanda di:

  • Limitare l’uso dell’RDP solo a connessioni fidate.
  • Applicare restrizioni di rete per impedire connessioni esterne non autorizzate.
  • Monitorare le attività di rete per rilevare comportamenti anomali.

Le minacce descritte sottolineano la necessità di un approccio proattivo alla sicurezza informatica. Da campagne di smishing a malware avanzati come Raccoon Stealer, fino agli attacchi sofisticati di APT29, il panorama della sicurezza continua a evolversi. L’adozione di app cifrate, unita a pratiche di sicurezza solide, rappresenta una difesa fondamentale contro i rischi moderni.

Canale Telegram Matrice Digitale

Continue Reading

Sicurezza Informatica

Windows, rischi Visual Studio Code, file MSC e kernel

Tempo di lettura: 3 minuti. Attacchi a Visual Studio Code e kernel di Windows: scopri come nuove minacce sfruttano estensioni malevole, file MSC e vulnerabilità critiche per colpire utenti globali.

Published

on

Tempo di lettura: 3 minuti.

Negli ultimi giorni, esperti di sicurezza hanno individuato nuove minacce che sfruttano estensioni malevole di Visual Studio Code, file MSC di Microsoft e una vulnerabilità critica nel kernel di Windows. Questi attacchi, sempre più sofisticati, rappresentano rischi significativi per sviluppatori, organizzazioni e utenti globali.

Visual Studio Code: estensioni malevole nel marketplace

Un’ampia campagna di attacchi è stata individuata su Visual Studio Code (VSCode), con oltre 18 estensioni malevole progettate per colpire sviluppatori e comunità legate alle criptovalute. Le estensioni, tra cui “Ethereum.SoliditySupport” e “ZoomWorkspace.Zoom,” mascherano funzioni dannose attraverso falsi numeri di installazioni e recensioni positive.

Le estensioni scaricano payload offuscati da domini fasulli come “microsoft-visualstudiocode[.]com”. Una volta installate, attivano comandi PowerShell che decriptano stringhe AES per eseguire codice dannoso. I rischi principali includono il furto di credenziali e movimenti laterali verso risorse cloud, specialmente su piattaforme come Microsoft Azure.

Gli esperti raccomandano di validare sempre le estensioni prima di installarle e di controllare i loro codici sorgente per evitare compromissioni della supply chain.

Attacchi tramite file MSC: una minaccia emergente

Un’altra campagna, denominata FLUX#CONSOLE, sfrutta file MSC (Microsoft Common Console Document) per distribuire backdoor mirate. Questi file, mascherati da documenti PDF (“Tax Reductions, Rebates and Credits 2024”), eseguono JavaScript integrato per caricare DLL dannose come “DismCore.dll.”

Gli attacchi sono stati osservati principalmente in Pakistan, dove gli aggressori utilizzano documenti a tema fiscale come esca. Questi file MSC rappresentano un’evoluzione dei tradizionali file LNK, offrendo agli attori malevoli un metodo stealth per infiltrarsi nei sistemi.

Le analisi suggeriscono che il malware installato tramite questi attacchi consente la raccolta di dati sensibili e l’esecuzione di comandi remoti, rendendo necessario un monitoraggio continuo e la segmentazione delle reti aziendali.

Kernel di Windows: vulnerabilità sfruttata per ottenere privilegi SYSTEM

Una vulnerabilità critica del kernel di Windows, identificata come CVE-2024-35250, è attivamente sfruttata per ottenere privilegi SYSTEM. Questa falla, presente nel componente Microsoft Kernel Streaming Service (MSKSSRV.SYS), permette a un attore locale di eseguire attacchi a bassa complessità senza richiedere l’interazione dell’utente.

Originariamente scoperta dal team di ricerca DEVCORE e dimostrata durante il Pwn2Own Vancouver 2024, la vulnerabilità è stata corretta da Microsoft nel Patch Tuesday di giugno 2024. Tuttavia, con la recente pubblicazione di exploit Proof-of-Concept (PoC) su GitHub, gli attacchi sono aumentati in frequenza, rendendo necessario un intervento urgente per mitigare i rischi.

Meccanismo dell’attacco e conseguenze

Gli aggressori sfruttano un untrusted pointer dereference, un tipo di debolezza che consente loro di manipolare la memoria del kernel e di ottenere un controllo completo sul sistema. Durante i test, questa tecnica è stata utilizzata per compromettere dispositivi con Windows 11 versione 23H2, eseguendo comandi con i massimi privilegi.

CISA ha classificato questa vulnerabilità come prioritaria, aggiungendola al suo catalogo Known Exploited Vulnerabilities (KEV) e imponendo alle agenzie federali di aggiornare i propri sistemi entro il 6 gennaio 2025. L’agenzia raccomanda anche alle organizzazioni private di applicare immediatamente le patch e di implementare controlli di accesso rigorosi.

Queste campagne, che spaziano dall’abuso di estensioni di Visual Studio Code alle vulnerabilità nel kernel di Windows, dimostrano la crescente sofisticazione degli attacchi informatici. Proteggersi richiede un approccio proattivo, che includa l’aggiornamento regolare dei software, il monitoraggio delle attività di rete e la segmentazione delle risorse sensibili.

Canale Telegram Matrice Digitale

Continue Reading

Facebook

CYBERSECURITY

Sicurezza Informatica2 ore ago

NodeStealer e phishing via Google Calendar: nuove minacce

Tempo di lettura: 2 minuti. NodeStealer e phishing via Google Calendar: analisi delle minacce avanzate che compromettono dati finanziari e...

Sicurezza Informatica16 ore ago

Windows, rischi Visual Studio Code, file MSC e kernel

Tempo di lettura: 3 minuti. Attacchi a Visual Studio Code e kernel di Windows: scopri come nuove minacce sfruttano estensioni...

Sicurezza Informatica18 ore ago

HubPhish, targeting politico e vulnerabilità critiche

Tempo di lettura: 3 minuti. HubPhish, targeting politico e vulnerabilità critiche: analisi delle minacce e linee guida di sicurezza di...

Sicurezza Informatica1 giorno ago

Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni

Tempo di lettura: 3 minuti. Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e le soluzioni consigliate per migliorare la sicurezza...

Sicurezza Informatica5 giorni ago

BadBox su IoT, Telegram e Viber: Germania e Russia rischiano

Tempo di lettura: < 1 minuto. Malware preinstallati su dispositivi IoT e sanzioni russe contro Telegram e Viber: scopri le...

Sicurezza Informatica6 giorni ago

PUMAKIT: analisi del RootKit malware Linux

Tempo di lettura: 3 minuti. PUMAKIT, il sofisticato rootkit per Linux, sfrutta tecniche avanzate di stealth e privilege escalation. Scopri...

Sicurezza Informatica1 settimana ago

Vulnerabilità Cleo: attacchi zero-day e rischi di sicurezza

Tempo di lettura: 2 minuti. Cleo, azienda leader nel software di trasferimento file gestito (MFT), è al centro di una...

Sicurezza Informatica1 settimana ago

Vulnerabilità cavi USB-C, Ivanti, WPForms e aggiornamenti Adobe

Tempo di lettura: 3 minuti. Vulnerabilità nei cavi USB-C, WPForms e Ivanti; aggiornamenti Adobe per Acrobat e Illustrator. Rischi e...

Microsoft Patch Tuesday Microsoft Patch Tuesday
Sicurezza Informatica1 settimana ago

Microsoft Patch Tuesday dicembre 2024: sicurezza e funzionalità

Tempo di lettura: 2 minuti. Microsoft dicembre 2024: aggiornamenti Windows 11 e 10 con patch per vulnerabilità zero-day, nuove funzionalità...

Windows 11 Recall Windows 11 Recall
Tech2 settimane ago

Windows 11 e le novità di Copilot+: funzionalità avanzate e nuove esperienze

Tempo di lettura: 5 minuti. Microsoft amplia le funzionalità di Windows 11 con Copilot+ e Recall, mentre iFixit introduce pezzi...

Truffe recenti

Sicurezza Informatica2 mesi ago

Qualcomm, LEGO e Arc Browser: Sicurezza sotto attacco e misure di protezione rafforzate

Tempo di lettura: 3 minuti. Qualcomm corregge una vulnerabilità zero-day, LEGO affronta una truffa in criptovalute e Arc Browser lancia...

Sicurezza Informatica3 mesi ago

Truffa “Il tuo partner ti tradisce”: chiedono di pagare per vedere le prove

Tempo di lettura: < 1 minuto. Una nuova truffa "Il tuo partner ti tradisce" chiede il pagamento per vedere prove...

Sicurezza Informatica5 mesi ago

Scam internazionale tramite Facebook e app: ERIAKOS e malware SMS stealer

Tempo di lettura: 4 minuti. Analisi delle campagne di scam ERIAKOS e del malware SMS Stealer che mirano gli utenti...

Sicurezza Informatica5 mesi ago

Meta banna 60.000 Yahoo Boys in Nigeria per sextortion

Tempo di lettura: 3 minuti. Meta combatte le truffe di estorsione finanziaria dalla Nigeria, rimuovendo migliaia di account e collaborando...

Inchieste5 mesi ago

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste6 mesi ago

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica6 mesi ago

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica7 mesi ago

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica7 mesi ago

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste7 mesi ago

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Tech

Robotica17 minuti ago

Microrobot magnetici: il futuro della robotica ispirata alla natura

Tempo di lettura: 3 minuti. Microrobot magnetici ispirati alle formiche: scopri come collaborano per superare ostacoli, trasportare carichi e rivoluzionare...

Tech50 minuti ago

Bing, Chrome e Firefox tra AI, velocità e sostenibilità

Tempo di lettura: 3 minuti. Bing ottimizza AI e creatività con TensorRT e DALL-E 3, Chrome accelera con HTTP/3, Firefox...

Tech1 ora ago

Samsung Galaxy S25, Tab S10 FE e nuovi rivali

Tempo di lettura: 5 minuti. Galaxy Tab S10 FE, OnePlus 13 e 13R: innovazioni nei tablet e la competizione tra...

Smartphone16 ore ago

OnePlus Ace 5 Pro e Moto G05 Series: innovazione e affidabilità

Tempo di lettura: 3 minuti. OnePlus Ace 5 Pro vs Moto G05 Series: scopri i dettagli sui nuovi flagship e...

Robotica17 ore ago

Microrobot magnetico nel trattamento dell’infertilità femminile

Tempo di lettura: 2 minuti. Microrobot magnetico per l’infertilità: una soluzione meno invasiva per trattare le ostruzioni delle tube di...

Smartphone17 ore ago

Vivo X200 Pro vs Google Pixel 9 Pro: quale flagship scegliere?

Tempo di lettura: 4 minuti. Vivo X200 Pro vs Google Pixel 9 Pro: confronto tra design, fotocamere, autonomia e prestazioni....

Intelligenza Artificiale18 ore ago

L’intelligenza artificiale: strumenti e trattamenti personalizzati in medicina

Tempo di lettura: 2 minuti. L’intelligenza artificiale trasforma la sanità con il Reinforcement Learning e le QuantNets. Strumenti innovativi per...

Galaxy S25 Plus Galaxy S25 Plus
Smartphone18 ore ago

Galaxy S25: colori inediti, aggiornamenti per S22 e S21

Tempo di lettura: 3 minuti. Galaxy S25 con colori inediti e patch di dicembre per Galaxy S22 e S21: scopri...

Tech18 ore ago

Google Chrome Beta 132: aggiornamenti per iOS e Android

Tempo di lettura: < 1 minuto. Google Chrome Beta 132 per iOS e Android introduce miglioramenti alle prestazioni e stabilità....

iPhone 17 Pro iPhone 17 Pro
Smartphone23 ore ago

iPhone 17 Pro: evoluzione del design e incertezze sul modulo fotocamera

Tempo di lettura: 4 minuti. iPhone 17: nuovi sensori fotografici, design raffinato e prestazioni migliorate con il chip A18 Bionic.

Tendenza